[#3] Anonymous, avvocati e password: quando la nostra privacy dipende da altri.

Il giorno 6 maggio, il gruppo attivista Anonymous Italia ha preso di mira i server dell’ordine degli avvocati di Matera. Il 7 maggio, è toccato a quello di Piacenza e di Roma (mentre sto scrivendo questo articolo, Anonymous ha portato a termine attacchi contro il Garante della privacy, Vodafone e TIM!)

Il risultato di queste azioni è stato quello di sottrarre dai server delle associazioni sopra indicate, una mole di dati ingenti, resi poi pubblici su piattaforme di file sharing.

Ho già avuto modo di parlare di Anonymous in questo articolo e voglio chiarire un concetto: le azioni svolte, certamente non lecite, hanno però il merito (perché di tale si tratta) di mettere in evidenza la fragilità di buona parte dei sistemi di difesa e di portarle alla luce del sole.

Considerato che queste vulnerabilità hanno impatti su tutti quanti noi (ne parlo dopo), questo è - al momento - l’unico modo perché i media ne parlino e quindi sia posta l’attenzione della gente (imprenditori in primis) sul tema sicurezza informatica.

Purtroppo, se domani la Canestracci Oil subisse un attacco informatico, rimanesse ferma per una giornata, riportando danni per migliaia di euro, nessuno lo imparerebbe. Non c’è una cultura diffusa perché manca la formazione e l’informazione.

E che piaccia o meno, Anonymous è oggi l’unico mezzo che accende una luce su un tema fondamentale della nuova società basata sul digitale.

Non è la prima volta che il gruppo svolge attività di questo tipo, ma in questo caso lo scenario è differente e mette in evidenza alcune criticità che voglio commentare e condividere, perché hanno un riflesso diretto sia sul sistema di garanzia della privacy che sulle modalità con cui ciascuno di noi - e ciascuna azienda - approccia il tema della cybersecurity.

Nei file trafugati dall’ordine degli avvocati di Roma, ci sono alcune tabelle che contengono le credenziali di accesso delle caselle email PEC degli avvocati stessi (tra cui, il sindaco di Roma Virginia Raggi). Ovvero, era possibile trovare in rete nome, cognome, indirizzo email, nome utente e password di circa 30.000 (TRENTAMILA) avvocati romani. Quella qui sotto è una schermata dove si possono vedere le password utilizzate dagli avvocati.

Una parte delle password trafugate da Anonymous

Ecco alcune considerazioni su cui riflettere.

La sicurezza delle password

Sappiamo tutti che è sbagliato utilizzare password definite “deboli”. E’ altrettanto vero però che oggi, dovendocene ricordare un numero enorme, la tentazione (ma non solo… oramai è una pratica purtroppo) è di creare password semplici da ricordare.  

Quando tocco questo tema nei miei incontri formativi sulla cybersecurity, utilizzo spesso un’immagine che ho trovato e “rubato” da Stefano Benato, esperto di sicurezza informatica e blogger, perché spiega in modo semplice e veloce come e perché dobbiamo usare le password:

credits Stefano Benato

Direi che non ci sono parole da aggiungere :-) Anche nel mio e-book “Prevenire è meglio che curare” riprendo questo argomento.

Adottare questi consigli è fondamentale perché ci risolve molti problemi. Ad esempio, usare la stessa password su più applicazioni ci espone ad un rischio alto in caso di furto della stessa: la prima cosa che i cyber criminali fanno, è utilizzare le password acquisite su altri servizi.

La sicurezza del sistema.

Ora, se utilizzare password deboli è un grave errore, ancora di più è non avere un sistema di difesa adeguato che protegga le nostre applicazioni, soprattutto in ambito aziendale.

Quello che è successo all'ordine degli avvocati, la possiamo considerare una "worst practice":

  • le credenziali di accesso dell'amministratore erano "admin" - "admin"
  • le password erano memorizzate in chiaro (quindi non cifrate)
  • dopo l'attacco nessuno ha prontamente disconnesso i server di posta elettronica delle PEC rubate

Il problema privacy.

Un attacco informatico crea evidentemente dei danni a chi lo subisce: a volte però non consideriamo che possono esserci delle vittime indirette.

Prendiamo ancora il caso degli avvocati: il fatto che qualcuno sia potuto entrare nelle loro caselle di posta elettronica, ha come conseguenza che il contenuto fosse anch'esso esposto.

Di conseguenza tutte le conversazioni, file, documenti, relative agli assistiti, diventano pubbliche.

Il risultato è quindi che un soggetto terzo (il cliente dell'avvocato, nell'esempio di cui sopra) subisce un danno alla propria privacy per una negligenza non sua.

La stessa cosa può accadere in una qualsiasi azienda: i dati personali che vengono trattati, le comunicazioni, i contratti, basti pensare a quanto trasmettiamo via email, può essere compromesso durante un attacco informatico.

E l'unica soluzione, è la prevenzione.


Ti piace la mia newsletter? Clicca qui ed iscriviti!
Mostra commenti